一种电力系统网络攻击预测方法与流程

本发明涉及一种基于关键节点发现和网络攻击图的电力系统网络攻击预测方法，属于计算机网络领域。

背景技术：

现有的电力系统网络攻击预测目标的研究还非常不成熟，目前电力系统的网络安全研究还局限在用户登录与控制，变电站自动化控制，数据传输协议安全，变电站入侵与防护，网络流量加密，系统冗余备份，用户权限控制等方面，没有从整体上对电力系统遭受网络攻击的情况进行预测与分析。

本发明针对电力系统网络安全的现状和面临的问题，试图解决电力系统网络攻击的预测和防御问题。由于网络攻击图是网络攻击方向预测的主流技术，但是随着网络规模的不断扩大，网络攻击图面临着攻击图规模越来越大，计算复杂度越来越高，网络攻击的目标很难准确断定并且很难在实施范围内做到攻击目标发现和预防，因此单纯的网络攻击图预测很难解决网络攻击目标的实时发现和动态防护的目标。因此，本发明将网络攻击图技术引入到电力网络系统中，实现电力系统的网络攻击方向预测，首先要解决的便是网络攻击图的快速构建问题。

由于电力系统具有网络结构稳定，由若干关键节点组成，因此，实现电力系统的网络安全主要是实现关键节点的网络安全，因此，可以根据网络关键节点来构建网络攻击图，这样既可以降低网络攻击图的计算复杂度，又可以提高网络攻击图的预测效率，因此，本发明提出了基于关键节点发现和网络攻击图的电力系统网络攻击预测方法。在电力系统中可以做到对网络攻击的准确预防，同时做到当网络攻击发生的时候准确判定网络入侵者的入侵目标和入侵攻击意图。可以极大的提高电力系统的安全性和鲁棒性。从而降低网络攻击所造成的损失。

技术实现要素：

针对上述已有方法存在的问题，本发明的目的在于提供一种基于关键节点发现和网络攻击图的电力系统网络攻击预测方法，当发现网络的攻击目标和方向后，对关键攻击目标进行网络保护，例如网络隔离，网络重定向，系统补丁安装，系统冗余备份等网络保护策略。

本发明的关键节点发现策略是针对电力系统的特点进行了一定的调整，使系统运行在电力系统的专网之上，提高电力系统抗击网络攻击的效率。针对电力系统的特点所提出的关键节点发现策略为：

1.利用电力系统的网络拓扑图，定位网络的关键节点，电力专网结构稳定，网络拓扑更新不太频繁，因此利用电力系统的网络拓扑，可以更好的定位网络关键节点；

2.电力系统的设备系统稳定，更新不太频繁，因此根据网络漏洞库便可以动态的更新当前电力设备所面临的关键威胁，利用面临的主要威胁来确定发现网络的关键节点；

3.利用网络管理员和网络使用者的先验知识来确定关键节点，电力系统的使用者和管理者对系统的关键部位有深刻的认识，对系统的骨干核心节点的重要意义和非常明确，利用这一点，可以准确确定电力系统的关键节点，提高抵抗网络攻击的效率。

基于以上三点，本发明可以提取出电力系统专网上的关键节点，并且可以根据关键节点的重要性来给关键节点分配权重，同时，本发明还结合了网络攻击预测的关键技术，利用网络流量分析技术相辅助，发现网络中的关键节点，将这四种关键几点发现技术相结合，便提出了基于电力系统特点的基于关键节点发现和网络攻击预测的电力系统网络攻击方向预测方法。

针对现有方法攻击图预测的场景中，攻击图网络面临规模太大，难于发现可能受到攻击的目标的问题。本发明提出了四种策略来发现大规模网络中的关键节点，分别是从关键的漏洞威胁中提取网络中的关键节点，从网络拓扑图中发现关键节点，从网络流量分析中发现网络中的关键路由节点，最后利用网络管理员和网络使用者的先验知识来发现网络中关键节点，将以上四种网络中的关键节点进行融合，根据网络关键节点的重要性来分配相应的权重，发现这些网络关键节点的漏洞来构建网络攻击图，训练攻击图模型，来预测网络攻击的目标和方向。与此同时，当真实的网络攻击发生的时候，动态根据攻击发生的目标和方向，来调整训练好的网络攻击图模型的权重，来预测真实的网络攻击的目标和方向。本发明将应用在电力系统的专网上，对网络攻击的预防和对抗提供辅助和支撑。

本发明的技术方案为：

一种电力系统网络攻击预测方法，其步骤为：

1)提取电力系统网络上的关键节点，并为关键节点分配权重；

2)利用关键节点和关键节点所存在的漏洞训练得到网络攻击图；

3)当发生网络攻击时，如果攻击者利用已知系统漏洞进行网络攻击，则利用训练好的该网络攻击图预测当前的网络攻击方向和目标；如果攻击者利用的是未知系统漏洞进行网络攻击，则将当前受攻击的节点作为新的关键节点并赋予权重，将该关键节点加入网络攻击图获取新的攻击预测方向。

进一步的，提取所述关键节点并分配权重的方法为：

21)根据网络漏洞库确定电力系统网络中节点面临的漏洞威胁，根据该漏洞威胁对节点攻击的难易程度确定出关键节点及其分值；

22)利用电力系统的网络拓扑图定位出电力系统网络的关键节点及其分值；

23)基于电力系统网络的流量确定出关键节点及其分值；

24)利用先验知识来确定电力系统网络的关键节点及其分值；

25)对步骤21)～24)得到的关键节点及其分值进行融合，得到关键节点及其权重。

进一步的，采用决策层融合策略对步骤21)～24)得到的关键节点及其分值进行融合，即将同一关键节点在步骤21)～24)得到的分值进行累加，根据累加值确定该关键节点的权重。

进一步的，采用基于一阶隐马尔科夫模型对网络攻击图的节点权重进行调整，然后调整网络攻击图。

进一步的，当预测出当前的网络攻击目标后，对该网络攻击目标采取网络保护策略进行网络保护。

进一步的，所述网络保护策略包括：网络隔离、网络重定向、系统补丁安装和系统冗余备份。

本方法包括以下步骤：

1.从电力系统网络中发现系统的漏洞，利用主动扫描和被动检测的方法，发现系统中存在的网络漏洞，同时可以支持不同格式的漏洞描述文件读取，从漏洞描述文件中获取系统和网络中存在的漏洞情况。

2.电力系统网络中的关键节点发现，关键节点发现使用了四种发现策略，分别是从关键的漏洞威胁中提取网络中的关键节点，从网络拓扑图中发现关键节点，从网络流量分析中发现网络中的关键节点，最后利用网络管理员和网络使用者的先验知识来发现网络中关键节点，最后将发现的四类关键节点进行融合，对于关键节点赋予不同的权重。

3.利用关键节点和关键节点所存在的漏洞，来构建和训练网络攻击图(参考：何江湖；潘晓中；基于漏洞关联攻击代价的攻击图生成算法；计算机应用研究,Application Research of Computers,2012年05期)。

4.当真实的网络攻击发生的时候，如果攻击者利用现有的系统漏洞进行网络攻击的时候，利用训练好的网络攻击图便可以进行网络攻击方向和目标的有效预测，如果网络攻击者利用的是未知系统漏洞进行网络攻击的时候(即当系统遭受到攻击之时，攻击的方向并不是本发明所预测到的攻击方向，则可以判定为系统遭受到了未知系统漏洞攻击)，将当前所遭受攻击的节点作为新的关键节点并赋予较大的权重，将新的关键节点加入网络攻击图调整攻击图节点权重，获取新的攻击预测方向，采用的策略是基于一阶隐马尔科夫模型对攻击图的节点权重进行调整，随后调整网络攻击图，进行网络攻击方向预测，采用一阶隐马尔科夫模型的原因是为了达到攻击预测的实时处理，并且根据网络中攻击发生的情况进行动态调整，预测网络攻击者最终的攻击范围，提高系统的鲁棒性。

与已公开的方法相比，本发明具有如下优点：

1.有效降低了攻击图预测的复杂度，将基于攻击图的网络攻击方向预测推广到大型网络之上。

2.提出了网络关键节点的发现策略，兼顾了网络漏洞发现，用户先验知识，网络流量关键节点和网络拓扑关键节点的情况，有效涵盖了网络的范围，并且网络关键节点发现的粒度可以进行调整，以便达到下一步网络攻击图的实时处理。

3.引入了攻击过程中的新的系统漏洞，基于隐马尔科夫模型，对网络攻击者的下一阶段的攻击目标和攻击意图做出预测。

附图说明

图1为系统发明总体结构图；

图2为网络关键节点发现方法图；

图3为网络攻击方向预测方法图。

具体实施方式

下面，结合具体的实施例对本发明进行详细说明。

1.发明总体结构图如图1所示。

首先对网络中的漏洞进行全网扫描，将网络漏洞进行关联分析，随后进行关键点提取，接着对提取的关键节点进行漏洞分析，利用关键节点的漏洞来构建网络攻击图，利用网络攻击图可以对网络攻击的目标和范围进行准确预测。

2.网络关键节点发现方法图如图2所示。

本发明提出了四种网络关键节点的发现策略，同时四种网络关键节点进行合并，提取网络关键节点漏洞，来构建网络攻击图进行攻击预测。四种网络关键节点的发现策略为：

1)对基于流量所发现的关键节点的关键程度进行打分，分值从(1-5)。

2)从关键漏洞威胁中提取网络关键节点，是从最新的网络漏洞库来发现当前节点面临的漏洞威胁，利用漏洞威胁发现当前节点遭受攻击的难易程度，容易遭受攻击的节点是关键节点；给节点的关键程度进行打分，分值从(1-5)。

3)从网络拓扑中发现关键节点，由于电力系统的稳定性，从网络拓扑中发现关键节点是具有很强的可操作性；给节点的关键程度进行打分，分值从(1-5)。

4)从网络管理员和网络使用者的先验知识来发现关键节点，由于电力系统的稳定性和封闭性，利用以上先验知识对准确发现网络节点的关键性具有很好的辅助作用；给节点的关键程度进行打分，分值从(1-5)。

融合策略有很多种，有决策层融合，特征层融合和数据层融合，本发明采用了决策层融合的策略，每个节点根据四种关键节点发现策略所获取到的关键节点分值进行累加，获得到当前节点的总关键分值，随后根据关键节点的总关键分值来分配节点的关键权重。

3.攻击目标预测方法如图3所示。

最终的网络攻击目标预测，当网络攻击者采用新的漏洞攻击时，对新的漏洞进行分析，将新的漏洞加入到之前训练的网络攻击图中，对网络攻击图进行动态调整，利用一阶隐马尔科夫模型，选择攻击者最有可能攻击的目标，做出攻击预测，如果预测错误，根据攻击者的历史攻击路径和当前攻击目标，训练一阶隐马尔科夫模型，将攻击图的目标和参数进行修正，达到网络攻击目标和方向的准确预测。

4.应用范围

本系统应用在电力系统专网之上，为电力系统网络遭受的网络攻击进行检测。